Le flag est quelque part dans l’image Docker. Pour pouvoir l’analyser il faut d’abord la descendre et la stocker dans un fichier local. Pour se faire j’utilise la commande suivante: docker save anssi/fcsc2024-forensics-layer-cake-1:latest > fcsc2024-forensics-layer-cake-1.tar
J’obtiens ainsi une archive tar que je peux alors ouvrir ainsi:
tar -xvf fcsc2024-forensics-layer-cake-1.tar
L’archive est composée de différents fichiers listés ci-dessous :
0faa62781dd1db0ebb6cd83836bb4ba24f8b58b0cd761ac0cbae426bccc7666f.json
c30b490a670daf158d10a6be72de0471bd4200f02f27625d1163f263ffe43db1
layer-cake.tar
manifest.json
repositories
Le fichier manifest.json est un point d’entrée intéressant. Il permet d’identifier les différents couches de l’image Docker ainsi que le fichier de configuration. Ce dernier est le fichier 0faa62781dd1db0ebb6cd83836bb4ba24f8b58b0cd761ac0cbae426bccc7666f.json.
En parcourant ce fichier on découvre…le flag!